Podpis cyfrowy

Podpis cyfrowy– matematyczny sposób sprawdzenia autentycznościdokumentów i wiadomości elektronicznych.Poprawny podpis oznacza, że wiadomość pochodzi od właściwego nadawcy, który nie może zaprzeczyć faktowi jej nadania, oraz że wiadomość nie została zmieniona podczas transmisji.

Podpis cyfrowy służy zapewnieniu między innymi następującychfunkcji bezpieczeństwa:

• autentyczności pochodzenia,która daje pewność co do autorstwa dokumentu,
• niezaprzeczalności,która utrudnia wyparcie się autorstwa lub znajomości treści dokumentu,
• integralności,która pozwala wykryć nieautoryzowane modyfikacje dokumentu po jego podpisaniu.

Do zapewnienia wszystkich wymienionych funkcji potrzebne jest zastosowanie trzech środków:

• instrumentów technicznych – algorytmów, protokołów i formatówkryptograficznych,które realizująfunkcje bezpieczeństwa,
• instrumentów prawnych, czyliprzepisów,które osadzają wymienione instrumenty techniczne w obowiązującym prawie,
• instrumentów organizacyjnych, takich jakurzędy certyfikacji,które poświadczają związekklucza publicznegoz konkretną osobą.

Jednym z systemów, który szczegółowo opisuje stosowanie tych środków wUnii Europejskiej,jestkwalifikowany podpis elektroniczny.

Podpis cyfrowy jest najczęściej realizowany przy pomocy technikkryptografii asymetrycznej,w którejklucz prywatnyjest używany do składania podpisu, zaśklucz publicznysłuży do weryfikacji.

Część funkcji podpisu cyfrowego można również zrealizować przy pomocykryptografii symetrycznej(np. ISO 13888-2).

Osobny artykuł:Kod uwierzytelniania wiadomości.

Dwa dominujące standardy podpisu cyfrowego toRSAorazDSA.Ten ostatni może być realizowany w oparciu ologarytmy dyskretnelubkrzywe eliptyczne(ECDSA).

Znane są również techniki wykorzystujące arytmetykę wielu zmiennych (SFLASH, Quartz) oraz operujące nakratach(NTRU).

Popularne systemy podpisu cyfrowego toX.509orazPGP.

PGPjest systemem zdecentralizowanym, w którym poziom autentyczności danego klucza jest determinowany przez sumę podpisów, złożonych przez różne osoby znające posiadacza klucza (modelSieć zaufania). System ten jest powszechnie wykorzystywany wInternecieoraz w środowiskach korporacyjnych (np. niektóre systemyEDI).

SystemX.509jest systemem scentralizowanym, w którym autentyczność klucza jest gwarantowana przez hierarchięurzędów certyfikacjiformalnie poświadczających związek klucza z tożsamością jego właściciela. Ze względu na jednoznaczną odpowiedzialność, łatwiejszą do osadzenia w prawie, X.509 jest obecnie dominującym systemem, na którym opiera się aktualnie obowiązujące prawodawstwo opodpisie elektronicznym.

Pojęcia „podpis cyfrowy” i „podpis elektroniczny” bywają traktowane jako synonimy, ale ich znaczenie w kontekście prawnym i nazewnictwie unijnym jest odmienne. Pojęcie „podpisu cyfrowego” (ang.digital signature) zostało zdefiniowane przez normę ISO 7498-2:1989 jako„dane dołączone do danych lub ich przekształcenie kryptograficzne, które pozwala odbiorcy danych udowodnić pochodzenie danych i zabezpieczyć je przed fałszerstwem”.

Na podstawie tej definicji przyjmuje się, że pojęcie „podpis cyfrowy” jest stosowane wobec mechanizmówkryptograficznychi technicznych związanych z podpisem elektronicznym. Do tej kategorii zaliczają się więc liczne zastosowania matematycznej operacji „podpisywania cyfrowego” wykorzystywane np. w protokołach kryptograficznych (np.IPsec), które „podpisują” np. tymczasowe liczby losowe w celu potwierdzenia posiadania klucza prywatnego.

Pojęciepodpis elektroniczny(ang.electronic signature), wprowadzone przez uchyloną unijną Dyrektywę 1999/93/EC, jednoznacznie wskazywało, że jest to operacja podpisywania konkretnych danych (dokument elektroniczny) przez osobę fizyczną.

Ponadto w polskiej terminologii prawniczej termin „podpis” jest przywiązany tylko doosoby fizycznej,co ogranicza stosowanie pojęcia „podpis elektroniczny”. Z tego powodu w uchylonej ustawie o podpisie elektronicznym konieczne było wprowadzenie rozróżnienia na operacje „podpisu” (przez osobę) oraz „poświadczenia” (przezurząd certyfikacji), pomimo że z technicznego punktu widzenia są one tą samą operacją podpisu cyfrowego. Z tego samego powoducertyfikat klucza publicznegoosoby jest nazywany „certyfikatem”, zaś urzędu certyfikacji – „zaświadczeniem certyfikacyjnym”.

W polskim prawie podpis elektroniczny reguluje ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2024 r. poz. 422).